医療記録システムおよび医療記録方法
【課題】複数工程に亘り提供される医療行為の連携状況を記録する。
【解決手段】情報端末が、複数の工程毎に、その工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、その工程において提供された医療行為の内容を示す工程情報との入力を受付け、情報サーバが、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報を記憶し、電子カルテ情報を記憶すると、その電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませる。
【解決手段】情報端末が、複数の工程毎に、その工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、その工程において提供された医療行為の内容を示す工程情報との入力を受付け、情報サーバが、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報を記憶し、電子カルテ情報を記憶すると、その電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、患者が提供される医療行為を記録する技術に関する。
【背景技術】
【0002】
特許文献1には、商店等における売買や、医療機関における医療行為等のサービスの提供者に予めIC(Integrated Circuit)カードを発行し、サービス提供の際にICカードを用いた本人認証を行う技術が記載されている。ここでは、電子署名技術における時刻証明を用いて、証明書に記載された時刻が、確かにそのサービスが提供された時刻であるか否かなどによりサービス提供者の正当性を検証している。特許文献2には、ICカードを用いた電子署名により、医療行為における診療報酬明細書であるレセプトの正当性を検証する技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−126865号公報
【特許文献2】特開2009−140057号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、図9に示すように、一連の医療行為は診察、薬剤作成、投薬などの複数工程に亘って提供され、個々の工程の医療行為提供者が異なっている場合がある。例えば、薬剤作成工程においては、薬剤を作成する薬剤師が、診察工程における医師の診察結果を取り違えたり読み間違えたりすることなく、診察結果に応じた薬剤を作成することが求められる。あるいは、投薬工程において、例えば薬剤が注射器により投薬するものであれば、薬剤師によって作成された薬が取り違えられることなく、投薬されることが求められる。そこで、各工程において「薬剤が正確に生成されたかどうか」「投薬が取り違えられた事実があるかどうか」といった医療行為を時系列で記録し、内容を証明することが重要となる。したがって、患者に対して行われた一連の医療行為において、処方どおりの正しい薬が投与されたかどうか、誰(医師)が作成した処方箋を元に、誰(薬剤師)が処方し、誰(医師)によって薬が投与されたかといった行為の正しさと行為の連続性を検証できることが望ましい。また、医療過誤といった事故が起こった際、当事者である患者本人のみの意思で、医療行為における各工程の行為とその正しさを検証できることが望ましい。
【0005】
本発明は、このような状況に鑑みてなされたもので、複数工程に亘り提供される医療行為の連携状況を記録する医療記録システムおよび医療記録方法を提供する。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、複数の工程毎の医療行為提供者に対応する情報端末と、情報端末に接続された情報サーバとを備えた医療記録システムであって、情報端末は、複数の工程毎に、工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、工程において提供された医療行為の内容を示す工程情報との入力を受付ける入力部を備え、情報サーバは、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報が記憶される電子カルテ記憶部と、電子カルテ記憶部に電子カルテ情報が記憶されると、電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませるハッシュ値算出部と、を備えることを特徴とする。
【0007】
また、本発明は、医療記録システムが、可搬媒体に書き込まれたハッシュ値を読み出す検証端末を備え、情報サーバは、検証端末が可搬媒体に書き込まれたハッシュ値を読み出すと、ハッシュ値算出部に、電子カルテ記憶部に記憶された電子カルテ情報に基づいてハッシュ値を算出させ、算出されたハッシュ値と、読み出し部が読み出したハッシュ値とを比較し、一致すれば検証成功と判定し、一致しなければ検証失敗と判定する検証部と、を備えることを特徴とする。
【0008】
また、本発明は、可搬媒体が、ユーザに対して予め生成された秘密鍵と公開鍵とが記憶される記憶部と、乱数を生成する乱数生成部と、乱数生成部によって生成された乱数を、ハッシュ関数を用いてハッシュ化したセッションIDを生成するセッションID生成部と、セッションIDを、記憶部から読み出した秘密鍵を用いて署名生成して電子署名データを生成する署名データ生成部と、セッションIDと電子署名データとを情報端末に送信する送信部と、セッションIDと、情報サーバから送信されるハッシュ値とが対応付けられて履歴情報として記憶される履歴情報記憶部と、を備え、情報端末は、可搬媒体から送信されたセッションIDと電子署名データとを受信し、セッションIDと電子署名データと工程情報とを対応付けて情報サーバに送信し、検証端末は、可搬媒体に記憶された履歴情報と公開鍵とを読み出して情報サーバに送信し、情報サーバの、電子カルテ記憶部には、情報端末を介して送信された、可搬媒体によって生成された電子署名データと、電子カルテ情報とが対応付けられて記憶され、検証部は、検証端末が読み出した履歴情報と公開鍵とに基づいて、電子署名データを署名検証することを特徴とする。
【0009】
また、本発明は、情報サーバの電子カルテ記憶部には、セッションIDが、関連する複数工程の医療行為を識別する情報として電子カルテ情報に対応付けられて記憶されることを特徴とする。
【0010】
また、本発明は、医療記録システムが、各工程において医療行為に用いられる医療器具に貼付されるRFIDを備え、情報端末は、ハッシュ値算出部によって算出されたハッシュ値を、後工程において用いられる医療器具に貼付されたRFIDに記憶させる書き込み部を備えることを特徴とする。
【0011】
また、本発明は、複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、複数の工程毎の医療行為提供者に対応する情報端末と、情報端末に接続された情報サーバとを備えた医療記録システムの医療記録方法であって、情報端末が、複数の工程毎に、工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、工程において提供された医療行為の内容を示す工程情報との入力を受付けるステップと、情報サーバが、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報を記憶するステップと、電子カルテ記憶部に電子カルテ情報が記憶されると、電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませるステップと、を備えることを特徴とする。
【発明の効果】
【0012】
以上説明したように、本発明によれば、情報端末が、複数の工程毎に、その工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、その工程において提供された医療行為の内容を示す工程情報との入力を受付け、情報サーバが、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報を記憶し、電子カルテ情報を記憶すると、その電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませるようにしたので、複数工程に亘り提供される個々の医療行為の連携状況を記録することが可能となる。これにより、複数工程に亘り提供された個々の医療行為が、正しく連携した医療行為であるか否かを検証することが可能となる。また、医療過誤といった事故が起こった際、当事者である患者本人のみの意思で、医療行為における各工程の行為とその正しさを検証できる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態による情報システムが備えるコンピュータ装置の配置例を示す図である。
【図2】本発明の一実施形態による情報システムの構成を示すブロック図である。
【図3】本発明の一実施形態による電子カルテ記憶部に記憶される電子カルテ情報のデータ例を示す図である。
【図4】本発明の一実施形態による情報システムの診察工程における動作例を示すシーケンス図である。
【図5】本発明の一実施形態による情報システムの薬剤作成工程における動作例を示すシーケンス図である。
【図6】本発明の一実施形態による情報システムの投薬工程における動作例を示すシーケンス図である。
【図7】本発明の一実施形態による情報サーバに記憶された電子カルテ情報の検証処理の動作例を示すシーケンス図である。
【図8】本発明の一実施形態による一連の医療行為の関連を示す図である。
【図9】従来の一連の医療行為の関連を示す図である。
【発明を実施するための形態】
【0014】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による情報システム1が備えるコンピュータ装置の配置例を示す図である。医療機関における受付などに、検証端末500およびICリーダライタ530が配置され、診察室には、医師により用いられる情報端末200−1およびICリーダライタ230−1が配置され、薬局には、薬剤師により用いられる情報端末200−2およびICリーダライタ230−2が配置され、病室には、医師により用いられる情報端末200−3およびICリーダライタ230−3が配置され、システム管理室には、システム管理者により用いられる情報サーバ600が配置される。これらのコンピュータ装置は、ネットワークを介して接続される。
【0015】
図2は、本実施形態による情報システム1の構成を示すブロック図である。情報システム1は、図1に示した各コンピュータ装置に加え、患者であるユーザのICカード100と、診察および投薬を行う医師のICカード300−1と、薬剤作成を行う薬剤師のICカード300−2と、薬剤等に貼付されるRFID(Radio Frequency IDentification)タグ400を備えている。ここでは、医師により用いられるコンピュータ装置を情報端末200−1の1台として、図1における情報端末200−3の機能を兼ねるとして説明する。
【0016】
ICカード100は、複数の工程に亘る医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体である。ICカード100は、記憶部110と、通信部120と、本人認証部130と、乱数生成部140と、セッションID生成部150と、署名データ生成部160とを備えている。
記憶部110には、例えば、患者公開鍵Kp1と、患者秘密鍵Ks1と、サーバ公開鍵Kp2と、患者情報と、履歴情報とが記憶される。患者公開鍵Kp1と患者秘密鍵Ks1とは、公開鍵暗号方式に基づいて予め生成され記憶された、ICカード100のユーザに固有の鍵情報である。サーバ公開鍵Kp2は、公開鍵暗号方式に基づいて生成された情報サーバ600の秘密鍵に対応する公開鍵である。患者情報は、記憶部110のユーザである患者を識別する情報である。患者情報は、例えば、氏名のみでも良いし、患者に対して一意に割り当てられたID(識別情報)などでも良いし、生年月日や住所などの属性情報が含まれるようにしても良い。履歴情報は、ICカード100に対応するユーザが提供された一連の医療行為の履歴を示す情報である。例えば、履歴情報には、関連する複数工程の医療行為(セッション)を識別するセッションID、セッション毎に生成される乱数R、セッション毎の医療行為に基づいて生成されたハッシュ値A2などが含まれる。
【0017】
通信部120は、検証端末500のICリーダライタ530や情報端末200−1のICリーダライタ230−1と通信を行う。
本人認証部130は、ICカード100のユーザの本人認証を行う。例えば、本人認証部130は、定められたパスワードを自身の記憶領域に予め記憶し、検証端末500や情報端末200−1に入力され通信部120を介して受信するパスワードと一致するか否かを判定するPIN(Personal identification number)認証を行う。ここでは、本人認証部130は、予め記憶したパスワードと、入力されたパスワードとが一致すれば認証成功と判定し、一致しなければ認証失敗と判定して認証結果を出力する。
【0018】
乱数生成部140は、情報端末200−1から送信される「署名データSとセッションIDとの取得要求」に応じて、乱数Rを生成する。
セッションID生成部150は、乱数生成部140が生成した乱数Rを、定められたハッシュ関数によりハッシュ化してR´を生成し、生成したR´をセッションIDとして記憶部110に記憶させる。
署名データ生成部160は、乱数生成部140によって生成された乱数Rに基づく署名データSを生成する。署名データ生成部160は、セッションID生成部150によってハッシュ化されたR´を、サーバ公開鍵Kp2によって暗号化して暗号化データR´(Kp2)を生成する。そして、署名データ生成部160は、生成したR´(Kp2)を、患者秘密鍵Ks1を用いて署名生成し、電子署名データSを生成する。ここでは、ICカード100の乱数生成部140が乱数Rを生成する例を説明するが、外部のコンピュータ装置(例えば、検証端末500や情報端末200−1)が生成した乱数Rを、通信部120を介して受信するようにしても良い。この場合、乱数Rを生成したコンピュータ装置は、生成した乱数RをICカード100に送信した後に、乱数Rを自身の記憶領域から削除する。
【0019】
情報端末200−1と情報端末200−2とは同様の構成であるため、特に区別して説明する必要がない場合には情報端末200として説明する。ここでは、2台の情報端末200を示して説明するが、情報システム1は3台以上の情報端末200(情報端末200−1、情報端末200−2、・・・情報端末200−N)を備えるようにしても良い。情報端末200は、複数の工程毎の医療行為提供者に対応するコンピュータ装置であり、入力部210と、通信部220と、ICリーダライタ230とを備えている。
【0020】
入力部210は、複数の工程毎に、その工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、その工程において提供された医療行為の内容を示す工程情報との入力を受付ける。例えば、診察工程においては、情報端末200−1の入力部210−1に、患者に投薬する薬剤の処方箋などの情報が医師によって入力される。薬剤作成工程においては、情報端末200−2の入力部210−2に、処方箋に基づいて作成された薬剤の情報が薬剤師によって入力される。投薬工程においては、情報端末200−1の入力部210−1に、患者に投薬したことを示す情報が医師によって入力される。以下、診察工程において入力される情報を工程情報(診察)とし、薬剤作成工程において入力される情報を工程情報(薬剤作成)とし、投薬工程において入力される情報を工程情報(投薬)として説明する。
【0021】
通信部220は、ネットワークを介して情報サーバ600と通信を行う。
ICリーダライタ230は、ICチップが備えられるICカード100、ICカード300−1、ICカード300−2、RFIDタグ400などと接触型または非接触型の通信を行い、ICチップに記憶された情報の読み書きを行う。例えば、ICリーダライタ230は、ICカード100の本人認証部130やICカード300の本人認証部310などと通信して、本人認証を行う。また、ICリーダライタ230は、情報サーバ600のハッシュ値生成部630によって算出されたハッシュ値A1を、後工程において用いられる薬剤や注射器などの医療器具に貼付されたRFIDタグ400に記憶させる。
【0022】
ICカード300−1は、診察および投薬を行う医師を識別する情報が記憶されるICカードであり、ICカード300−2は、薬剤作成を行う薬剤師を識別する情報が記憶されるICカードである。ここで、ICカード300−1とICカード300−2とは同様の構成であるため、特に区別して説明する必要がない場合にはICカード300として説明する。ここでは、2つのICカード300を示して説明するが、複数工程においてサービスを提供するサービス提供者の数に応じて、3つ以上のICカード300(ICカード300−1、ICカード300−2、・・・ICカード300−N)を備えるようにしても良い。ICカード300は、患者に対するサービス提供者である医師、薬剤師、看護師などに予め発行され、そのサービス提供者を識別する情報が記憶される。ICカード300は、本人認証部310を備えている。
本人認証部310は、ICカード100の本人認証部130と同様に、例えばPIN認証などによる本人認証を行う。
【0023】
RFIDタグ400は、ICチップを備えた情報媒体である。ここでは、RFIDタグ400は、一度書き込まれた情報が書き換えられることを防ぐために、書き換え不可のワンタイムライト型のRFIDを適用する。ここでは、1つのRFIDタグ400を図示して説明するが、後工程にて利用される薬剤などの混注セット、医療器具などの数に応じて複数のRFIDタグ400を用いて良い。RFIDタグ400には、固有の識別情報(RFID_ID)が予め記憶されており、薬剤師によって作成された薬剤、注射器などに貼付される。RFIDタグ400は、ハッシュ値記憶部410を備えている。
ハッシュ値記憶部410には、後述する情報サーバ600によって生成されたハッシュ値A1が、情報端末200−2のICリーダライタ230−2によって書き込まれ、記憶される。
【0024】
検証端末500は、医療機関の受付などに設置され、患者であるユーザに利用されるコンピュータ装置であり、情報を表示するディスプレイである表示部を備えている。また、検証端末500は、入力部510と、通信部520と、ICリーダライタ530とを備えている。入力部510と、通信部520と、ICリーダライタ530とは、情報端末200が備える同名の機能部と同様の機能である。入力部510は、ICカード100のユーザの本人認証のためのパスワード等の入力を受付ける。ICリーダライタ530は、ICカード100と通信を行う。例えば、ICリーダライタ530は、ICカード100に書き込まれた履歴情報を読み出す。
【0025】
情報サーバ600は、情報端末200や検証端末500などとネットワークを介して通信を行い、電子カルテ情報を記憶するとともに医療機関によって行われた一連の医療行為の正当性を検証するコンピュータ装置である。情報サーバ600は、電子カルテ記憶部610と、通信部620と、ハッシュ値生成部630と、検証部640とを備えている。
電子カルテ記憶部610には、医療行為の複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報が記憶される。電子カルテ情報は、医療機関によって行われた医療行為の履歴を示す情報である。図3は、電子カルテ記憶部610に記憶される電子カルテ情報のデータ例を示す図である。符号aに示す情報項目は、診察工程において入力される工程情報(診察)であり、符号b1、b2に示す情報項目は、薬剤作成工程において入力される工程情報(薬剤作成)であり、符号cに示す情報項目は、投薬工程において入力される工程情報(投薬)である。
【0026】
工程情報(診察)に含まれる情報項目のうち、患者情報は、医療機関による診察を受けた患者を示す情報である。患者情報は、ICカード100の記憶部110に記憶されている患者情報が読み出されて記憶されるようにして良い。ここで、ICカード100に記憶されている患者情報は、情報端末200−1のICリーダライタ230−1によって読み出されて情報サーバ600に送信され、記憶される。医師情報は、診察工程において患者の診察を行った医師を示す情報である。医師情報は、例えば、医師の氏名でも良いし、診察を行う医師に予め割り当てられたIDなどでも良い。医師情報は、診察時に医師によって情報端末200−1に入力されるようにしても良いし、ICカード300−1により医師の本人認証を行う際に、ICカード300−1に予め記憶されている医師情報を読み出して情報サーバ600に送信するようにしても良い。日付情報は、診察が行われた日付を示す情報である。時間情報は、診察が行われた時間を示す情報である。薬剤は、診察に応じて患者に投薬する薬剤を示す情報である。処方量は、薬剤を投薬する量を示す情報である。セッションIDは、ICカード100のセッションID生成部150によって生成された、関連する一連の医療行為を識別する情報である。署名データSは、ICカード100の署名データ生成部160によって生成された情報である。
【0027】
工程情報(薬剤作成)に含まれる情報項目のうち、符号b1が示す情報は、薬剤作成に関する情報である。薬IDは、薬剤師によって作成された薬を識別する情報である。日付情報は、薬剤師が薬剤を作成した日付を示す情報である。時間情報は、薬剤師が薬剤を作成した時間を示す情報である。原薬は、薬剤師が作成した薬剤の原薬を示す情報である。使用量は、薬剤を作成するために使用した原薬の量を示す情報である。薬剤は、薬剤師が作成した薬剤を示す情報である。ハッシュ値A1は、符号aに示す工程情報(診察)の全てと、符号b1に示す工程情報(薬剤作成)である薬IDから薬剤までの情報とを、ハッシュ関数を用いてハッシュ化したハッシュ値であり、情報サーバ600によって生成される情報である。また、符号b2が示す情報は、薬剤作成に関する情報に基づいて、情報サーバ600によって生成されたハッシュ値A1が記憶されるRFIDタグ400に関する情報である。薬剤師情報は、薬剤を作成した薬剤師を示す情報である。RFID_IDは、ハッシュ値A1を記憶させたRFIDタグ400を識別する情報である。
【0028】
工程情報(投薬)に含まれる情報項目のうち、投薬者情報は、患者に投薬を行った医師または看護師などを示す情報である。患者情報は、薬剤が投薬された患者を示す情報である。日付情報は、薬剤が投薬された日付を示す情報である。時間情報は、薬剤が投薬された時間を示す情報である。薬IDは、投薬された薬を識別する情報である。
これらの電子カルテ記憶部610に記憶されている電子カルテ情報は、アクセス権限によるアクセス制御が行われており、患者、医師、薬剤師、看護師による情報の改ざんまたは削除ができないものとする。
【0029】
通信部620は、ネットワークを介して検証端末500または情報端末200と通信を行う。
ハッシュ値生成部630は、電子カルテ記憶部610に電子カルテ情報が記憶されると、その電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部610に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部610には記憶させずにICカード100に書き込ませる。例えば、ハッシュ値生成部630は、電子カルテ記憶部610に工程情報(診察)と工程情報(薬剤作成)が記憶された時点で、記憶された情報の全てをハッシュ関数を用いてハッシュ化しハッシュ値A1を生成し、電子カルテ記憶部610に記憶させる。また、電子カルテ記憶部610に工程情報(診察)と工程情報(薬剤作成)と工程情報(投薬)とが記憶された時点で、記憶された情報の全てをハッシュ関数を用いてハッシュ化しハッシュ値A2を生成し、電子カルテ記憶部610に記憶させずに、情報端末200−1に送信して、ICカード100に書き込ませる。
【0030】
検証部640は、検証端末500から送信される検証要求に応じて、電子カルテ記憶部610に記憶された電子カルテ情報を読み出し、電子カルテ情報の検証処理を行う。ここで、検証部640は、検証端末500のICリーダライタ530がICカード100に書き込まれた患者公開鍵Kp1と履歴情報とを読み出すと、ハッシュ値生成部630に、電子カルテ記憶部610に記憶された電子カルテ情報に基づいてハッシュ値A3を算出させ、算出されたハッシュ値A3と、ICカード100から読み出された履歴情報に含まれるハッシュ値A2とを比較し、一致すれば検証成功と判定し、一致しなければ検証失敗と判定する。
【0031】
具体的には、検証部640は、検証端末500から、セッションID(=R´)と、患者公開鍵Kp1と、ハッシュ値A2とが含まれる検証要求を受信する。検証部640は、受信した検証要求に含まれるセッションIDに対応する電子カルテ情報を電子カルテ記憶部610から読み出す。検証部640は、読み出した電子カルテ情報に含まれる電子署名データSを、患者公開鍵Kp1によって復号し、R´(Kp2)を取り出す。検証部640は、取り出したR´(Kp2)を、サーバ秘密鍵Ks2によって復号してR´を取得する。ここで、サーバ秘密鍵Ks2は、サーバ公開鍵Kp2に対応する秘密鍵であり、検証部640の記憶領域に予め記憶される。検証部640は、復号したR´と、検証要求に含まれるセッションIDとが一致するか否かを判定することにより、電子署名データSを署名検証し、患者であるユーザ本人であることを検証する。
【0032】
次に、検証部640は、電子署名データSの検証に成功すると、ハッシュ値生成部630に、読み出したセッションIDに対応する電子カルテ情報の全てをハッシュ関数でハッシュ化したハッシュ値A3を生成させる。検証部640は、ハッシュ値生成部630によって生成されたハッシュ値A3と、検証端末500から送信された検証要求に含まれるハッシュ値A2とを比較して、ハッシュ値A2とハッシュ値A3とが一致すれば、検証成功と判定する。一致しなければ、検証失敗と判定する。このようにすれば、ユーザのICカード100に記憶された情報のみによって、情報サーバ600に記憶された電子カルテ情報を検証することができる。すなわち、従来のように、各工程における工程情報に関連する医師や薬剤師などに応じた署名データを格納する場合には、検証時に医師や薬剤師などのICカード等が必要になり、ユーザのICカード100のみによっては検証を行えない場合が考えられる。これに対し、本実施形態によれば、患者であるユーザのICカード100のみで電子署名を行っていること、一連の医療行為の連続性を保持した情報であるハッシュ値A2が患者であるユーザのICカード100のみに格納されることで、患者であるユーザのICカード100のみにより、一連の医療行為の正当性について検証することが可能である。
【0033】
次に、図面を参照して、本実施形態による情報システム1の動作例を説明する。図4は、診察工程における情報システム1の動作例を示すシーケンス図である。
情報端末200−1の入力部210−1が、患者の診察を行う医師からのパスワードの入力を受付けると、ICリーダライタ230−1は、医師のICカード300−1にパスワードを送信する。ICカード300−1の本人認証部310−1は、予め記憶されたパスワードと、ICリーダライタ230−1から入力されたパスワードとを比較して、医師の本人認証を行う(ステップS1)。ここで、本人認証が成功すると、情報端末200−1は、ICカード300−1に記憶された医師情報を読み出す。
【0034】
同様に、情報端末200−1の入力部210−1が、診察を受ける患者からのパスワードの入力を受付けると、ICリーダライタ230−1は、患者のICカード100にパスワードを送信する。ICカード100の本人認証部130は、予め記憶されたパスワードと、ICリーダライタ230−1から入力されたパスワードとを比較して、患者の本人認証を行う(ステップS2)。ここで、本人認証が成功すると、情報端末200−1は、ICカード100に記憶された患者情報を読み出す。
【0035】
医師の本人認証と患者の本人認証との双方が成功すると、情報端末200−1は、ICカード100に署名データSとセッションIDとの取得要求を送信する(ステップS3)。ICカード100の乱数生成部140は、情報端末200−1から送信された取得要求に応じて、乱数Rを生成する。セッションID生成部150は、乱数生成部140によって生成された乱数Rをハッシュ化したR´をセッションIDとして生成し、記憶部110に記憶させる。署名データ生成部160は、セッションID生成部150によって生成されたセッションID(R´)に基づいて、署名データSを生成する(ステップS4)。通信部120は、署名データ生成部160によって生成された署名データSと、セッションID生成部150によって生成されたセッションIDとを情報端末200−1に送信する(ステップS5)。
【0036】
そして、医師が患者の診察を行うと、情報端末200−1の入力部210−1は、医師から入力される薬剤や処方量などの工程情報(診察)の入力を受付ける(ステップS6)。情報端末200−1の通信部220−1は、入力された工程情報(診察)と、署名データSと、セッションIDとを、情報サーバ600に送信する(ステップS7)。情報サーバ600は、情報端末200−1から送信された工程情報(診察)と、署名データSと、セッションIDとを、電子カルテ記憶部610に記憶させる(ステップS8)。
【0037】
図5は、薬剤作成工程における情報システム1の動作例を示すシーケンス図である。情報端末200−2の入力部210−2が、薬剤作成を行う薬剤師からのパスワードの入力を受付けると、ICリーダライタ230−2は、薬剤師のICカード300−2にパスワードを送信する。ICカード300−2の本人認証部310−2は、予め記憶されたパスワードと、ICリーダライタ230−2から入力されたパスワードとを比較して、薬剤師の本人認証を行う(ステップS11)。ここで、本人認証が成功すると、情報端末200−2は、ICカード300−2に記憶された薬剤師情報を読み出す。
【0038】
薬剤師が薬剤の作成を行うと、作成した薬剤の原薬や注射器などの混注セットにRFIDを貼付する。情報端末200−2の入力部210−2は、薬剤師から入力される原薬や使用量などの工程情報(薬剤作成)の入力を受付ける(ステップS12)。情報端末200−2の通信部220−2は、入力された工程情報(薬剤作成)を、情報サーバ600に送信する(ステップS13)。情報サーバ600は、情報端末200−2から送信される工程情報(薬剤作成)を、電子カルテ記憶部610に記憶させる(ステップS14)。そして、情報サーバ600のハッシュ値生成部630は、電子カルテ記憶部610に記憶された工程情報(診察)と工程情報(薬剤作成)とに基づいて、ハッシュ値A1を生成する(ステップS15)。
【0039】
情報サーバ600の通信部620は、生成したハッシュ値A1を、情報端末200−2に送信する(ステップS16)。情報端末200−2が、情報サーバ600から送信されたハッシュ値A1を受信すると、ICリーダライタ230−2が、混注セットに貼付されたRFIDタグ400のハッシュ値記憶部410に、ハッシュ値A1を書き込む(ステップS17)。ここで、ICリーダライタ230−2は、RFIDタグ400から、RFIDタグ400の記憶領域に記憶されている固有の識別情報であるRFID_IDを読み出し、ステップS11において本人認証を行った薬剤師情報とともに情報サーバ600に送信する(ステップS18)。情報サーバ600は、情報端末200−2から送信されるRFID_IDと、薬剤師情報を受信すると、電子カルテ記憶部610に記憶させる。
【0040】
図6は、投薬工程における情報システム1の動作例を示すシーケンス図である。医師は、投薬する混注セットに貼付されたRFIDタグ400を、情報端末200−1に近接させる。情報端末200−1のICリーダライタ230−2は、RFIDタグ400のハッシュ値記憶部410に記憶されたハッシュ値A1を読み出す(ステップS21)。医師が投薬を行うと、情報端末200−1の入力部210−2は、医師から入力される工程情報(投薬)の入力を受付ける(ステップS22)。情報端末200−1の通信部220−1は、入力部210−1に入力された工程情報(投薬)と、RFIDタグ400から読み出したハッシュ値A1とを、情報サーバ600に送信する(ステップS23)。
【0041】
情報サーバ600の通信部620は、情報端末200−1から送信されたハッシュ値A1に対応する電子カルテ情報に、情報端末200−1から送信された工程情報(投薬)を追加して記憶させる(ステップS24)。情報サーバ600のハッシュ値生成部630は、電子カルテ記憶部610に記憶された工程情報(診察)と工程情報(薬剤作成)と工程情報(投薬)とに基づいて、ハッシュ値A2を生成する(ステップS25)。情報サーバ600は、ステップS24において記憶させた電子カルテ情報のセッションIDと、ハッシュ値A2とを、情報端末200−1に送信する(ステップS26)。
【0042】
情報端末200−1は、情報サーバ600から送信されたセッションIDとハッシュ値A2とを受信すると、自身が備える計時機能から、セッションIDとハッシュ値A2とを受信した日付と、時刻とを読み出す。情報端末200−1のICリーダライタ230−1は、日付と、時刻と、セッションIDと、ハッシュ値A2とを、ICカード100に送信する(ステップS27)。ICカード100は、ICカード300−1から受信した日付と、時刻と、セッションIDと、ハッシュ値A2とを、ステップS4において記憶されたセッションID(=R´)に対応付けた履歴情報として記憶部110に記憶させる(ステップS28)。
【0043】
図7は、情報サーバ600に記憶された電子カルテ情報の検証処理の動作例を示すシーケンス図である。検証端末500の入力部510が、患者であるユーザからのパスワードの入力を受付けると、ICリーダライタ530は、ユーザのICカード100にパスワードを送信する。ICカード100の本人認証部130は、予め記憶されたパスワードと、入力部510から入力されたパスワードとを比較して、患者の本人認証を行う(ステップS31)。
【0044】
検証端末500の入力部510は、ユーザが検証を行いたい医療行為が行なわれた日付の入力を受付ける(ステップS32)。検証端末500のICリーダライタ530は、ステップS32において入力された日付に対応する履歴情報と、患者公開鍵Kp1とを読み出す(ステップS33)。検証端末500は、ICカード100から読み出した履歴情報と、患者公開鍵Kp1とを、情報サーバ600に送信する(ステップS34)。情報サーバ600の通信部620が、検証端末500から送信された履歴情報と、患者公開鍵Kp1とを受信すると、検証部640は、電子カルテ記憶部610から、履歴情報に含まれるセッションIDに対応する電子カルテ情報を読み出す。(ステップS35)
【0045】
本実施形態では、署名検証の際に乱数Rをハッシュ化したR´(=セッションID)を検証用に用いているが、検証要求の際、乱数R自体を送信して署名検証を行っても良い。署名検証時に乱数Rを用いる場合、乱数生成部140は、生成した乱数を、履歴情報として記憶部110に記憶させる。検証端末500のICリーダライタ530は、ICカード100に書き込まれた患者公開鍵Kp1と、セッションIDと、乱数Rと、ハッシュ値A2とを読み出し、情報サーバ600の検証部640に検証要求を送信する。このとき、検証部640による検証は以下のように行う。すなわち、検証部640は、電子カルテ記憶部610から読み出したセッションIDに対応する電子カルテ情報に含まれる署名データSを、患者公開鍵Kp1で復号することにより、ハッシュ化されたR´を取り出す。そして、検証部640は、検証端末500から受信した乱数Rをハッシュ化し、署名データSから復号したハッシュ化されたR´と一致するか否かを判定することにより、電子署名データSを署名検証し、ユーザ本人であることを検証する。
また、ハッシュ化後に署名生成した場合、履歴情報には、乱数R´を記憶せず検証時に履歴情報から読み出した乱数Rを、ハッシュ関数にてハッシュ化し、サーバ公開鍵Kp2で暗号化してR´(Kp2)を生成し、検証端末500に送信するようにしても良い。
【0046】
検証部640は、読み出した電子カルテ情報に含まれる署名データSを、患者公開鍵Kp1と、サーバ秘密鍵Ks2とに基づいて署名検証することにより、患者であるユーザの本人確認を行う(ステップS36)。ここで、検証部640が、検証失敗と判定すれば、通信部620は、検証が失敗したことを示す検証結果を、検証端末500に送信する。一方、検証成功と判定すれば、ハッシュ値生成部630が、電子カルテ記憶部610に記憶された電子カルテ情報に基づいてハッシュ値A3を生成する(ステップS37)。検証部640は、検証端末500から受信した履歴情報に含まれるハッシュ値A2と、ハッシュ値生成部630によって生成されたハッシュ値A3とが一致するか否かを判定する。通信部620は、検証部640によって一致すると判定されれば検証成功を示す検証結果と電子カルテ情報を、一致しないと判定されれば検証失敗を示す検証結果を、検証端末500に送信する(ステップS39)。検証端末500は、情報サーバ600から受信した検証結果と、検証成功の場合には電子カルテ情報とを、自身が備える表示部に表示させる。ユーザは、検証端末500に表示される検証結果を参照することにより、提供された一連の医療行為の正当性を確認することができる。
【0047】
なお、本実施形態では、診察、薬剤作成、投薬の3段階の医療行為が行なわれる場合の例について説明したが、2段階、または4段階以上の工程の医療行為が行なわれる場合に本実施形態の構成を同様に適用しても良い。例えば、手術の工程が存在する場合には、手術に用いられる輸血バッグ、ガーゼなどにRFIDタグ400を貼付して管理するようにしても良い。
また、本実施形態では、ハッシュ値A1を書き込む媒体としてRFIDを適用する例を説明したが、バーコードを印刷したシールなどを適用しても良い。
また、本実施形態では、ユーザの可搬媒体としてICカード100を適用する例を説明したが、ICカード100の記憶部110に記憶される履歴情報は、ICカード100と同様の機能を持った(RFID)タグバンドに書き込むようにしても良い。
【0048】
以上説明したように、本実施形態によれば、図8に示すように、一連の医療行為に関わった注射器、薬剤、医療行為が行なわれた場所、時間等の情報や、医療行為に関わった人物(医師、薬剤師、看護師など)の情報群をハッシュ化することで、複数の工程の医療行為の連続性を記録することができる。また、ハッシュ値は、ユーザのICカード100のみに記憶させることで、ユーザのみが、自身が所持するICカード100のみによって一連の医療行為の正当性を確認することが可能となる。これにより、例えば、ある患者に投薬が行われた後に患者の症状が悪化したような場合、その患者に対してどのような医師によりどのような診察が行われ、どのような薬剤師によりどのような薬剤が作成され、どのような医師または看護師によりどのような投薬が行われたかを確認することができる。これにより、例えば、投薬する必要があったにも関わらず投薬されなかったケース、投薬があったにも関わらず記録が行われなかったケース、診察だけが行われて投薬がされなかったケース、投薬があったにも関わらず投薬しなかった記録されたケースの有無を判断することができる。これにより、ユーザは、医療ミスや、医療行為後の記録の偽装などの存在を判断することができる。
【0049】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより医療行為の記録と検証を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0050】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0051】
1 情報システム
100 ICカード
110 記憶部
120 通信部
130 本人認証部
140 乱数生成部
150 セッションID生成部
160 署名データ生成部
200 情報端末
210 入力部
220 通信部
230 ICリーダライタ
300 ICカード
310 本人認証部
400 RFIDタグ
410 ハッシュ値記憶部
500 検証端末
510 入力部
520 通信部
530 ICリーダライタ
600 情報サーバ
610 電子カルテ記憶部
620 通信部
630 ハッシュ値生成部
640 検証部
【技術分野】
【0001】
本発明は、患者が提供される医療行為を記録する技術に関する。
【背景技術】
【0002】
特許文献1には、商店等における売買や、医療機関における医療行為等のサービスの提供者に予めIC(Integrated Circuit)カードを発行し、サービス提供の際にICカードを用いた本人認証を行う技術が記載されている。ここでは、電子署名技術における時刻証明を用いて、証明書に記載された時刻が、確かにそのサービスが提供された時刻であるか否かなどによりサービス提供者の正当性を検証している。特許文献2には、ICカードを用いた電子署名により、医療行為における診療報酬明細書であるレセプトの正当性を検証する技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−126865号公報
【特許文献2】特開2009−140057号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、図9に示すように、一連の医療行為は診察、薬剤作成、投薬などの複数工程に亘って提供され、個々の工程の医療行為提供者が異なっている場合がある。例えば、薬剤作成工程においては、薬剤を作成する薬剤師が、診察工程における医師の診察結果を取り違えたり読み間違えたりすることなく、診察結果に応じた薬剤を作成することが求められる。あるいは、投薬工程において、例えば薬剤が注射器により投薬するものであれば、薬剤師によって作成された薬が取り違えられることなく、投薬されることが求められる。そこで、各工程において「薬剤が正確に生成されたかどうか」「投薬が取り違えられた事実があるかどうか」といった医療行為を時系列で記録し、内容を証明することが重要となる。したがって、患者に対して行われた一連の医療行為において、処方どおりの正しい薬が投与されたかどうか、誰(医師)が作成した処方箋を元に、誰(薬剤師)が処方し、誰(医師)によって薬が投与されたかといった行為の正しさと行為の連続性を検証できることが望ましい。また、医療過誤といった事故が起こった際、当事者である患者本人のみの意思で、医療行為における各工程の行為とその正しさを検証できることが望ましい。
【0005】
本発明は、このような状況に鑑みてなされたもので、複数工程に亘り提供される医療行為の連携状況を記録する医療記録システムおよび医療記録方法を提供する。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、複数の工程毎の医療行為提供者に対応する情報端末と、情報端末に接続された情報サーバとを備えた医療記録システムであって、情報端末は、複数の工程毎に、工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、工程において提供された医療行為の内容を示す工程情報との入力を受付ける入力部を備え、情報サーバは、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報が記憶される電子カルテ記憶部と、電子カルテ記憶部に電子カルテ情報が記憶されると、電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませるハッシュ値算出部と、を備えることを特徴とする。
【0007】
また、本発明は、医療記録システムが、可搬媒体に書き込まれたハッシュ値を読み出す検証端末を備え、情報サーバは、検証端末が可搬媒体に書き込まれたハッシュ値を読み出すと、ハッシュ値算出部に、電子カルテ記憶部に記憶された電子カルテ情報に基づいてハッシュ値を算出させ、算出されたハッシュ値と、読み出し部が読み出したハッシュ値とを比較し、一致すれば検証成功と判定し、一致しなければ検証失敗と判定する検証部と、を備えることを特徴とする。
【0008】
また、本発明は、可搬媒体が、ユーザに対して予め生成された秘密鍵と公開鍵とが記憶される記憶部と、乱数を生成する乱数生成部と、乱数生成部によって生成された乱数を、ハッシュ関数を用いてハッシュ化したセッションIDを生成するセッションID生成部と、セッションIDを、記憶部から読み出した秘密鍵を用いて署名生成して電子署名データを生成する署名データ生成部と、セッションIDと電子署名データとを情報端末に送信する送信部と、セッションIDと、情報サーバから送信されるハッシュ値とが対応付けられて履歴情報として記憶される履歴情報記憶部と、を備え、情報端末は、可搬媒体から送信されたセッションIDと電子署名データとを受信し、セッションIDと電子署名データと工程情報とを対応付けて情報サーバに送信し、検証端末は、可搬媒体に記憶された履歴情報と公開鍵とを読み出して情報サーバに送信し、情報サーバの、電子カルテ記憶部には、情報端末を介して送信された、可搬媒体によって生成された電子署名データと、電子カルテ情報とが対応付けられて記憶され、検証部は、検証端末が読み出した履歴情報と公開鍵とに基づいて、電子署名データを署名検証することを特徴とする。
【0009】
また、本発明は、情報サーバの電子カルテ記憶部には、セッションIDが、関連する複数工程の医療行為を識別する情報として電子カルテ情報に対応付けられて記憶されることを特徴とする。
【0010】
また、本発明は、医療記録システムが、各工程において医療行為に用いられる医療器具に貼付されるRFIDを備え、情報端末は、ハッシュ値算出部によって算出されたハッシュ値を、後工程において用いられる医療器具に貼付されたRFIDに記憶させる書き込み部を備えることを特徴とする。
【0011】
また、本発明は、複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、複数の工程毎の医療行為提供者に対応する情報端末と、情報端末に接続された情報サーバとを備えた医療記録システムの医療記録方法であって、情報端末が、複数の工程毎に、工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、工程において提供された医療行為の内容を示す工程情報との入力を受付けるステップと、情報サーバが、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報を記憶するステップと、電子カルテ記憶部に電子カルテ情報が記憶されると、電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませるステップと、を備えることを特徴とする。
【発明の効果】
【0012】
以上説明したように、本発明によれば、情報端末が、複数の工程毎に、その工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、その工程において提供された医療行為の内容を示す工程情報との入力を受付け、情報サーバが、複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報を記憶し、電子カルテ情報を記憶すると、その電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部には記憶させずに可搬媒体に書き込ませるようにしたので、複数工程に亘り提供される個々の医療行為の連携状況を記録することが可能となる。これにより、複数工程に亘り提供された個々の医療行為が、正しく連携した医療行為であるか否かを検証することが可能となる。また、医療過誤といった事故が起こった際、当事者である患者本人のみの意思で、医療行為における各工程の行為とその正しさを検証できる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態による情報システムが備えるコンピュータ装置の配置例を示す図である。
【図2】本発明の一実施形態による情報システムの構成を示すブロック図である。
【図3】本発明の一実施形態による電子カルテ記憶部に記憶される電子カルテ情報のデータ例を示す図である。
【図4】本発明の一実施形態による情報システムの診察工程における動作例を示すシーケンス図である。
【図5】本発明の一実施形態による情報システムの薬剤作成工程における動作例を示すシーケンス図である。
【図6】本発明の一実施形態による情報システムの投薬工程における動作例を示すシーケンス図である。
【図7】本発明の一実施形態による情報サーバに記憶された電子カルテ情報の検証処理の動作例を示すシーケンス図である。
【図8】本発明の一実施形態による一連の医療行為の関連を示す図である。
【図9】従来の一連の医療行為の関連を示す図である。
【発明を実施するための形態】
【0014】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による情報システム1が備えるコンピュータ装置の配置例を示す図である。医療機関における受付などに、検証端末500およびICリーダライタ530が配置され、診察室には、医師により用いられる情報端末200−1およびICリーダライタ230−1が配置され、薬局には、薬剤師により用いられる情報端末200−2およびICリーダライタ230−2が配置され、病室には、医師により用いられる情報端末200−3およびICリーダライタ230−3が配置され、システム管理室には、システム管理者により用いられる情報サーバ600が配置される。これらのコンピュータ装置は、ネットワークを介して接続される。
【0015】
図2は、本実施形態による情報システム1の構成を示すブロック図である。情報システム1は、図1に示した各コンピュータ装置に加え、患者であるユーザのICカード100と、診察および投薬を行う医師のICカード300−1と、薬剤作成を行う薬剤師のICカード300−2と、薬剤等に貼付されるRFID(Radio Frequency IDentification)タグ400を備えている。ここでは、医師により用いられるコンピュータ装置を情報端末200−1の1台として、図1における情報端末200−3の機能を兼ねるとして説明する。
【0016】
ICカード100は、複数の工程に亘る医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体である。ICカード100は、記憶部110と、通信部120と、本人認証部130と、乱数生成部140と、セッションID生成部150と、署名データ生成部160とを備えている。
記憶部110には、例えば、患者公開鍵Kp1と、患者秘密鍵Ks1と、サーバ公開鍵Kp2と、患者情報と、履歴情報とが記憶される。患者公開鍵Kp1と患者秘密鍵Ks1とは、公開鍵暗号方式に基づいて予め生成され記憶された、ICカード100のユーザに固有の鍵情報である。サーバ公開鍵Kp2は、公開鍵暗号方式に基づいて生成された情報サーバ600の秘密鍵に対応する公開鍵である。患者情報は、記憶部110のユーザである患者を識別する情報である。患者情報は、例えば、氏名のみでも良いし、患者に対して一意に割り当てられたID(識別情報)などでも良いし、生年月日や住所などの属性情報が含まれるようにしても良い。履歴情報は、ICカード100に対応するユーザが提供された一連の医療行為の履歴を示す情報である。例えば、履歴情報には、関連する複数工程の医療行為(セッション)を識別するセッションID、セッション毎に生成される乱数R、セッション毎の医療行為に基づいて生成されたハッシュ値A2などが含まれる。
【0017】
通信部120は、検証端末500のICリーダライタ530や情報端末200−1のICリーダライタ230−1と通信を行う。
本人認証部130は、ICカード100のユーザの本人認証を行う。例えば、本人認証部130は、定められたパスワードを自身の記憶領域に予め記憶し、検証端末500や情報端末200−1に入力され通信部120を介して受信するパスワードと一致するか否かを判定するPIN(Personal identification number)認証を行う。ここでは、本人認証部130は、予め記憶したパスワードと、入力されたパスワードとが一致すれば認証成功と判定し、一致しなければ認証失敗と判定して認証結果を出力する。
【0018】
乱数生成部140は、情報端末200−1から送信される「署名データSとセッションIDとの取得要求」に応じて、乱数Rを生成する。
セッションID生成部150は、乱数生成部140が生成した乱数Rを、定められたハッシュ関数によりハッシュ化してR´を生成し、生成したR´をセッションIDとして記憶部110に記憶させる。
署名データ生成部160は、乱数生成部140によって生成された乱数Rに基づく署名データSを生成する。署名データ生成部160は、セッションID生成部150によってハッシュ化されたR´を、サーバ公開鍵Kp2によって暗号化して暗号化データR´(Kp2)を生成する。そして、署名データ生成部160は、生成したR´(Kp2)を、患者秘密鍵Ks1を用いて署名生成し、電子署名データSを生成する。ここでは、ICカード100の乱数生成部140が乱数Rを生成する例を説明するが、外部のコンピュータ装置(例えば、検証端末500や情報端末200−1)が生成した乱数Rを、通信部120を介して受信するようにしても良い。この場合、乱数Rを生成したコンピュータ装置は、生成した乱数RをICカード100に送信した後に、乱数Rを自身の記憶領域から削除する。
【0019】
情報端末200−1と情報端末200−2とは同様の構成であるため、特に区別して説明する必要がない場合には情報端末200として説明する。ここでは、2台の情報端末200を示して説明するが、情報システム1は3台以上の情報端末200(情報端末200−1、情報端末200−2、・・・情報端末200−N)を備えるようにしても良い。情報端末200は、複数の工程毎の医療行為提供者に対応するコンピュータ装置であり、入力部210と、通信部220と、ICリーダライタ230とを備えている。
【0020】
入力部210は、複数の工程毎に、その工程において医療行為を提供した医療行為提供者を識別する提供者識別情報と、その工程において提供された医療行為の内容を示す工程情報との入力を受付ける。例えば、診察工程においては、情報端末200−1の入力部210−1に、患者に投薬する薬剤の処方箋などの情報が医師によって入力される。薬剤作成工程においては、情報端末200−2の入力部210−2に、処方箋に基づいて作成された薬剤の情報が薬剤師によって入力される。投薬工程においては、情報端末200−1の入力部210−1に、患者に投薬したことを示す情報が医師によって入力される。以下、診察工程において入力される情報を工程情報(診察)とし、薬剤作成工程において入力される情報を工程情報(薬剤作成)とし、投薬工程において入力される情報を工程情報(投薬)として説明する。
【0021】
通信部220は、ネットワークを介して情報サーバ600と通信を行う。
ICリーダライタ230は、ICチップが備えられるICカード100、ICカード300−1、ICカード300−2、RFIDタグ400などと接触型または非接触型の通信を行い、ICチップに記憶された情報の読み書きを行う。例えば、ICリーダライタ230は、ICカード100の本人認証部130やICカード300の本人認証部310などと通信して、本人認証を行う。また、ICリーダライタ230は、情報サーバ600のハッシュ値生成部630によって算出されたハッシュ値A1を、後工程において用いられる薬剤や注射器などの医療器具に貼付されたRFIDタグ400に記憶させる。
【0022】
ICカード300−1は、診察および投薬を行う医師を識別する情報が記憶されるICカードであり、ICカード300−2は、薬剤作成を行う薬剤師を識別する情報が記憶されるICカードである。ここで、ICカード300−1とICカード300−2とは同様の構成であるため、特に区別して説明する必要がない場合にはICカード300として説明する。ここでは、2つのICカード300を示して説明するが、複数工程においてサービスを提供するサービス提供者の数に応じて、3つ以上のICカード300(ICカード300−1、ICカード300−2、・・・ICカード300−N)を備えるようにしても良い。ICカード300は、患者に対するサービス提供者である医師、薬剤師、看護師などに予め発行され、そのサービス提供者を識別する情報が記憶される。ICカード300は、本人認証部310を備えている。
本人認証部310は、ICカード100の本人認証部130と同様に、例えばPIN認証などによる本人認証を行う。
【0023】
RFIDタグ400は、ICチップを備えた情報媒体である。ここでは、RFIDタグ400は、一度書き込まれた情報が書き換えられることを防ぐために、書き換え不可のワンタイムライト型のRFIDを適用する。ここでは、1つのRFIDタグ400を図示して説明するが、後工程にて利用される薬剤などの混注セット、医療器具などの数に応じて複数のRFIDタグ400を用いて良い。RFIDタグ400には、固有の識別情報(RFID_ID)が予め記憶されており、薬剤師によって作成された薬剤、注射器などに貼付される。RFIDタグ400は、ハッシュ値記憶部410を備えている。
ハッシュ値記憶部410には、後述する情報サーバ600によって生成されたハッシュ値A1が、情報端末200−2のICリーダライタ230−2によって書き込まれ、記憶される。
【0024】
検証端末500は、医療機関の受付などに設置され、患者であるユーザに利用されるコンピュータ装置であり、情報を表示するディスプレイである表示部を備えている。また、検証端末500は、入力部510と、通信部520と、ICリーダライタ530とを備えている。入力部510と、通信部520と、ICリーダライタ530とは、情報端末200が備える同名の機能部と同様の機能である。入力部510は、ICカード100のユーザの本人認証のためのパスワード等の入力を受付ける。ICリーダライタ530は、ICカード100と通信を行う。例えば、ICリーダライタ530は、ICカード100に書き込まれた履歴情報を読み出す。
【0025】
情報サーバ600は、情報端末200や検証端末500などとネットワークを介して通信を行い、電子カルテ情報を記憶するとともに医療機関によって行われた一連の医療行為の正当性を検証するコンピュータ装置である。情報サーバ600は、電子カルテ記憶部610と、通信部620と、ハッシュ値生成部630と、検証部640とを備えている。
電子カルテ記憶部610には、医療行為の複数の工程毎に、提供者識別情報と、工程情報とが対応付けられた電子カルテ情報が記憶される。電子カルテ情報は、医療機関によって行われた医療行為の履歴を示す情報である。図3は、電子カルテ記憶部610に記憶される電子カルテ情報のデータ例を示す図である。符号aに示す情報項目は、診察工程において入力される工程情報(診察)であり、符号b1、b2に示す情報項目は、薬剤作成工程において入力される工程情報(薬剤作成)であり、符号cに示す情報項目は、投薬工程において入力される工程情報(投薬)である。
【0026】
工程情報(診察)に含まれる情報項目のうち、患者情報は、医療機関による診察を受けた患者を示す情報である。患者情報は、ICカード100の記憶部110に記憶されている患者情報が読み出されて記憶されるようにして良い。ここで、ICカード100に記憶されている患者情報は、情報端末200−1のICリーダライタ230−1によって読み出されて情報サーバ600に送信され、記憶される。医師情報は、診察工程において患者の診察を行った医師を示す情報である。医師情報は、例えば、医師の氏名でも良いし、診察を行う医師に予め割り当てられたIDなどでも良い。医師情報は、診察時に医師によって情報端末200−1に入力されるようにしても良いし、ICカード300−1により医師の本人認証を行う際に、ICカード300−1に予め記憶されている医師情報を読み出して情報サーバ600に送信するようにしても良い。日付情報は、診察が行われた日付を示す情報である。時間情報は、診察が行われた時間を示す情報である。薬剤は、診察に応じて患者に投薬する薬剤を示す情報である。処方量は、薬剤を投薬する量を示す情報である。セッションIDは、ICカード100のセッションID生成部150によって生成された、関連する一連の医療行為を識別する情報である。署名データSは、ICカード100の署名データ生成部160によって生成された情報である。
【0027】
工程情報(薬剤作成)に含まれる情報項目のうち、符号b1が示す情報は、薬剤作成に関する情報である。薬IDは、薬剤師によって作成された薬を識別する情報である。日付情報は、薬剤師が薬剤を作成した日付を示す情報である。時間情報は、薬剤師が薬剤を作成した時間を示す情報である。原薬は、薬剤師が作成した薬剤の原薬を示す情報である。使用量は、薬剤を作成するために使用した原薬の量を示す情報である。薬剤は、薬剤師が作成した薬剤を示す情報である。ハッシュ値A1は、符号aに示す工程情報(診察)の全てと、符号b1に示す工程情報(薬剤作成)である薬IDから薬剤までの情報とを、ハッシュ関数を用いてハッシュ化したハッシュ値であり、情報サーバ600によって生成される情報である。また、符号b2が示す情報は、薬剤作成に関する情報に基づいて、情報サーバ600によって生成されたハッシュ値A1が記憶されるRFIDタグ400に関する情報である。薬剤師情報は、薬剤を作成した薬剤師を示す情報である。RFID_IDは、ハッシュ値A1を記憶させたRFIDタグ400を識別する情報である。
【0028】
工程情報(投薬)に含まれる情報項目のうち、投薬者情報は、患者に投薬を行った医師または看護師などを示す情報である。患者情報は、薬剤が投薬された患者を示す情報である。日付情報は、薬剤が投薬された日付を示す情報である。時間情報は、薬剤が投薬された時間を示す情報である。薬IDは、投薬された薬を識別する情報である。
これらの電子カルテ記憶部610に記憶されている電子カルテ情報は、アクセス権限によるアクセス制御が行われており、患者、医師、薬剤師、看護師による情報の改ざんまたは削除ができないものとする。
【0029】
通信部620は、ネットワークを介して検証端末500または情報端末200と通信を行う。
ハッシュ値生成部630は、電子カルテ記憶部610に電子カルテ情報が記憶されると、その電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、複数工程のうち最終工程ではない場合には、算出したハッシュ値を電子カルテ記憶部610に記憶させ、最終工程である場合には、算出したハッシュ値を電子カルテ記憶部610には記憶させずにICカード100に書き込ませる。例えば、ハッシュ値生成部630は、電子カルテ記憶部610に工程情報(診察)と工程情報(薬剤作成)が記憶された時点で、記憶された情報の全てをハッシュ関数を用いてハッシュ化しハッシュ値A1を生成し、電子カルテ記憶部610に記憶させる。また、電子カルテ記憶部610に工程情報(診察)と工程情報(薬剤作成)と工程情報(投薬)とが記憶された時点で、記憶された情報の全てをハッシュ関数を用いてハッシュ化しハッシュ値A2を生成し、電子カルテ記憶部610に記憶させずに、情報端末200−1に送信して、ICカード100に書き込ませる。
【0030】
検証部640は、検証端末500から送信される検証要求に応じて、電子カルテ記憶部610に記憶された電子カルテ情報を読み出し、電子カルテ情報の検証処理を行う。ここで、検証部640は、検証端末500のICリーダライタ530がICカード100に書き込まれた患者公開鍵Kp1と履歴情報とを読み出すと、ハッシュ値生成部630に、電子カルテ記憶部610に記憶された電子カルテ情報に基づいてハッシュ値A3を算出させ、算出されたハッシュ値A3と、ICカード100から読み出された履歴情報に含まれるハッシュ値A2とを比較し、一致すれば検証成功と判定し、一致しなければ検証失敗と判定する。
【0031】
具体的には、検証部640は、検証端末500から、セッションID(=R´)と、患者公開鍵Kp1と、ハッシュ値A2とが含まれる検証要求を受信する。検証部640は、受信した検証要求に含まれるセッションIDに対応する電子カルテ情報を電子カルテ記憶部610から読み出す。検証部640は、読み出した電子カルテ情報に含まれる電子署名データSを、患者公開鍵Kp1によって復号し、R´(Kp2)を取り出す。検証部640は、取り出したR´(Kp2)を、サーバ秘密鍵Ks2によって復号してR´を取得する。ここで、サーバ秘密鍵Ks2は、サーバ公開鍵Kp2に対応する秘密鍵であり、検証部640の記憶領域に予め記憶される。検証部640は、復号したR´と、検証要求に含まれるセッションIDとが一致するか否かを判定することにより、電子署名データSを署名検証し、患者であるユーザ本人であることを検証する。
【0032】
次に、検証部640は、電子署名データSの検証に成功すると、ハッシュ値生成部630に、読み出したセッションIDに対応する電子カルテ情報の全てをハッシュ関数でハッシュ化したハッシュ値A3を生成させる。検証部640は、ハッシュ値生成部630によって生成されたハッシュ値A3と、検証端末500から送信された検証要求に含まれるハッシュ値A2とを比較して、ハッシュ値A2とハッシュ値A3とが一致すれば、検証成功と判定する。一致しなければ、検証失敗と判定する。このようにすれば、ユーザのICカード100に記憶された情報のみによって、情報サーバ600に記憶された電子カルテ情報を検証することができる。すなわち、従来のように、各工程における工程情報に関連する医師や薬剤師などに応じた署名データを格納する場合には、検証時に医師や薬剤師などのICカード等が必要になり、ユーザのICカード100のみによっては検証を行えない場合が考えられる。これに対し、本実施形態によれば、患者であるユーザのICカード100のみで電子署名を行っていること、一連の医療行為の連続性を保持した情報であるハッシュ値A2が患者であるユーザのICカード100のみに格納されることで、患者であるユーザのICカード100のみにより、一連の医療行為の正当性について検証することが可能である。
【0033】
次に、図面を参照して、本実施形態による情報システム1の動作例を説明する。図4は、診察工程における情報システム1の動作例を示すシーケンス図である。
情報端末200−1の入力部210−1が、患者の診察を行う医師からのパスワードの入力を受付けると、ICリーダライタ230−1は、医師のICカード300−1にパスワードを送信する。ICカード300−1の本人認証部310−1は、予め記憶されたパスワードと、ICリーダライタ230−1から入力されたパスワードとを比較して、医師の本人認証を行う(ステップS1)。ここで、本人認証が成功すると、情報端末200−1は、ICカード300−1に記憶された医師情報を読み出す。
【0034】
同様に、情報端末200−1の入力部210−1が、診察を受ける患者からのパスワードの入力を受付けると、ICリーダライタ230−1は、患者のICカード100にパスワードを送信する。ICカード100の本人認証部130は、予め記憶されたパスワードと、ICリーダライタ230−1から入力されたパスワードとを比較して、患者の本人認証を行う(ステップS2)。ここで、本人認証が成功すると、情報端末200−1は、ICカード100に記憶された患者情報を読み出す。
【0035】
医師の本人認証と患者の本人認証との双方が成功すると、情報端末200−1は、ICカード100に署名データSとセッションIDとの取得要求を送信する(ステップS3)。ICカード100の乱数生成部140は、情報端末200−1から送信された取得要求に応じて、乱数Rを生成する。セッションID生成部150は、乱数生成部140によって生成された乱数Rをハッシュ化したR´をセッションIDとして生成し、記憶部110に記憶させる。署名データ生成部160は、セッションID生成部150によって生成されたセッションID(R´)に基づいて、署名データSを生成する(ステップS4)。通信部120は、署名データ生成部160によって生成された署名データSと、セッションID生成部150によって生成されたセッションIDとを情報端末200−1に送信する(ステップS5)。
【0036】
そして、医師が患者の診察を行うと、情報端末200−1の入力部210−1は、医師から入力される薬剤や処方量などの工程情報(診察)の入力を受付ける(ステップS6)。情報端末200−1の通信部220−1は、入力された工程情報(診察)と、署名データSと、セッションIDとを、情報サーバ600に送信する(ステップS7)。情報サーバ600は、情報端末200−1から送信された工程情報(診察)と、署名データSと、セッションIDとを、電子カルテ記憶部610に記憶させる(ステップS8)。
【0037】
図5は、薬剤作成工程における情報システム1の動作例を示すシーケンス図である。情報端末200−2の入力部210−2が、薬剤作成を行う薬剤師からのパスワードの入力を受付けると、ICリーダライタ230−2は、薬剤師のICカード300−2にパスワードを送信する。ICカード300−2の本人認証部310−2は、予め記憶されたパスワードと、ICリーダライタ230−2から入力されたパスワードとを比較して、薬剤師の本人認証を行う(ステップS11)。ここで、本人認証が成功すると、情報端末200−2は、ICカード300−2に記憶された薬剤師情報を読み出す。
【0038】
薬剤師が薬剤の作成を行うと、作成した薬剤の原薬や注射器などの混注セットにRFIDを貼付する。情報端末200−2の入力部210−2は、薬剤師から入力される原薬や使用量などの工程情報(薬剤作成)の入力を受付ける(ステップS12)。情報端末200−2の通信部220−2は、入力された工程情報(薬剤作成)を、情報サーバ600に送信する(ステップS13)。情報サーバ600は、情報端末200−2から送信される工程情報(薬剤作成)を、電子カルテ記憶部610に記憶させる(ステップS14)。そして、情報サーバ600のハッシュ値生成部630は、電子カルテ記憶部610に記憶された工程情報(診察)と工程情報(薬剤作成)とに基づいて、ハッシュ値A1を生成する(ステップS15)。
【0039】
情報サーバ600の通信部620は、生成したハッシュ値A1を、情報端末200−2に送信する(ステップS16)。情報端末200−2が、情報サーバ600から送信されたハッシュ値A1を受信すると、ICリーダライタ230−2が、混注セットに貼付されたRFIDタグ400のハッシュ値記憶部410に、ハッシュ値A1を書き込む(ステップS17)。ここで、ICリーダライタ230−2は、RFIDタグ400から、RFIDタグ400の記憶領域に記憶されている固有の識別情報であるRFID_IDを読み出し、ステップS11において本人認証を行った薬剤師情報とともに情報サーバ600に送信する(ステップS18)。情報サーバ600は、情報端末200−2から送信されるRFID_IDと、薬剤師情報を受信すると、電子カルテ記憶部610に記憶させる。
【0040】
図6は、投薬工程における情報システム1の動作例を示すシーケンス図である。医師は、投薬する混注セットに貼付されたRFIDタグ400を、情報端末200−1に近接させる。情報端末200−1のICリーダライタ230−2は、RFIDタグ400のハッシュ値記憶部410に記憶されたハッシュ値A1を読み出す(ステップS21)。医師が投薬を行うと、情報端末200−1の入力部210−2は、医師から入力される工程情報(投薬)の入力を受付ける(ステップS22)。情報端末200−1の通信部220−1は、入力部210−1に入力された工程情報(投薬)と、RFIDタグ400から読み出したハッシュ値A1とを、情報サーバ600に送信する(ステップS23)。
【0041】
情報サーバ600の通信部620は、情報端末200−1から送信されたハッシュ値A1に対応する電子カルテ情報に、情報端末200−1から送信された工程情報(投薬)を追加して記憶させる(ステップS24)。情報サーバ600のハッシュ値生成部630は、電子カルテ記憶部610に記憶された工程情報(診察)と工程情報(薬剤作成)と工程情報(投薬)とに基づいて、ハッシュ値A2を生成する(ステップS25)。情報サーバ600は、ステップS24において記憶させた電子カルテ情報のセッションIDと、ハッシュ値A2とを、情報端末200−1に送信する(ステップS26)。
【0042】
情報端末200−1は、情報サーバ600から送信されたセッションIDとハッシュ値A2とを受信すると、自身が備える計時機能から、セッションIDとハッシュ値A2とを受信した日付と、時刻とを読み出す。情報端末200−1のICリーダライタ230−1は、日付と、時刻と、セッションIDと、ハッシュ値A2とを、ICカード100に送信する(ステップS27)。ICカード100は、ICカード300−1から受信した日付と、時刻と、セッションIDと、ハッシュ値A2とを、ステップS4において記憶されたセッションID(=R´)に対応付けた履歴情報として記憶部110に記憶させる(ステップS28)。
【0043】
図7は、情報サーバ600に記憶された電子カルテ情報の検証処理の動作例を示すシーケンス図である。検証端末500の入力部510が、患者であるユーザからのパスワードの入力を受付けると、ICリーダライタ530は、ユーザのICカード100にパスワードを送信する。ICカード100の本人認証部130は、予め記憶されたパスワードと、入力部510から入力されたパスワードとを比較して、患者の本人認証を行う(ステップS31)。
【0044】
検証端末500の入力部510は、ユーザが検証を行いたい医療行為が行なわれた日付の入力を受付ける(ステップS32)。検証端末500のICリーダライタ530は、ステップS32において入力された日付に対応する履歴情報と、患者公開鍵Kp1とを読み出す(ステップS33)。検証端末500は、ICカード100から読み出した履歴情報と、患者公開鍵Kp1とを、情報サーバ600に送信する(ステップS34)。情報サーバ600の通信部620が、検証端末500から送信された履歴情報と、患者公開鍵Kp1とを受信すると、検証部640は、電子カルテ記憶部610から、履歴情報に含まれるセッションIDに対応する電子カルテ情報を読み出す。(ステップS35)
【0045】
本実施形態では、署名検証の際に乱数Rをハッシュ化したR´(=セッションID)を検証用に用いているが、検証要求の際、乱数R自体を送信して署名検証を行っても良い。署名検証時に乱数Rを用いる場合、乱数生成部140は、生成した乱数を、履歴情報として記憶部110に記憶させる。検証端末500のICリーダライタ530は、ICカード100に書き込まれた患者公開鍵Kp1と、セッションIDと、乱数Rと、ハッシュ値A2とを読み出し、情報サーバ600の検証部640に検証要求を送信する。このとき、検証部640による検証は以下のように行う。すなわち、検証部640は、電子カルテ記憶部610から読み出したセッションIDに対応する電子カルテ情報に含まれる署名データSを、患者公開鍵Kp1で復号することにより、ハッシュ化されたR´を取り出す。そして、検証部640は、検証端末500から受信した乱数Rをハッシュ化し、署名データSから復号したハッシュ化されたR´と一致するか否かを判定することにより、電子署名データSを署名検証し、ユーザ本人であることを検証する。
また、ハッシュ化後に署名生成した場合、履歴情報には、乱数R´を記憶せず検証時に履歴情報から読み出した乱数Rを、ハッシュ関数にてハッシュ化し、サーバ公開鍵Kp2で暗号化してR´(Kp2)を生成し、検証端末500に送信するようにしても良い。
【0046】
検証部640は、読み出した電子カルテ情報に含まれる署名データSを、患者公開鍵Kp1と、サーバ秘密鍵Ks2とに基づいて署名検証することにより、患者であるユーザの本人確認を行う(ステップS36)。ここで、検証部640が、検証失敗と判定すれば、通信部620は、検証が失敗したことを示す検証結果を、検証端末500に送信する。一方、検証成功と判定すれば、ハッシュ値生成部630が、電子カルテ記憶部610に記憶された電子カルテ情報に基づいてハッシュ値A3を生成する(ステップS37)。検証部640は、検証端末500から受信した履歴情報に含まれるハッシュ値A2と、ハッシュ値生成部630によって生成されたハッシュ値A3とが一致するか否かを判定する。通信部620は、検証部640によって一致すると判定されれば検証成功を示す検証結果と電子カルテ情報を、一致しないと判定されれば検証失敗を示す検証結果を、検証端末500に送信する(ステップS39)。検証端末500は、情報サーバ600から受信した検証結果と、検証成功の場合には電子カルテ情報とを、自身が備える表示部に表示させる。ユーザは、検証端末500に表示される検証結果を参照することにより、提供された一連の医療行為の正当性を確認することができる。
【0047】
なお、本実施形態では、診察、薬剤作成、投薬の3段階の医療行為が行なわれる場合の例について説明したが、2段階、または4段階以上の工程の医療行為が行なわれる場合に本実施形態の構成を同様に適用しても良い。例えば、手術の工程が存在する場合には、手術に用いられる輸血バッグ、ガーゼなどにRFIDタグ400を貼付して管理するようにしても良い。
また、本実施形態では、ハッシュ値A1を書き込む媒体としてRFIDを適用する例を説明したが、バーコードを印刷したシールなどを適用しても良い。
また、本実施形態では、ユーザの可搬媒体としてICカード100を適用する例を説明したが、ICカード100の記憶部110に記憶される履歴情報は、ICカード100と同様の機能を持った(RFID)タグバンドに書き込むようにしても良い。
【0048】
以上説明したように、本実施形態によれば、図8に示すように、一連の医療行為に関わった注射器、薬剤、医療行為が行なわれた場所、時間等の情報や、医療行為に関わった人物(医師、薬剤師、看護師など)の情報群をハッシュ化することで、複数の工程の医療行為の連続性を記録することができる。また、ハッシュ値は、ユーザのICカード100のみに記憶させることで、ユーザのみが、自身が所持するICカード100のみによって一連の医療行為の正当性を確認することが可能となる。これにより、例えば、ある患者に投薬が行われた後に患者の症状が悪化したような場合、その患者に対してどのような医師によりどのような診察が行われ、どのような薬剤師によりどのような薬剤が作成され、どのような医師または看護師によりどのような投薬が行われたかを確認することができる。これにより、例えば、投薬する必要があったにも関わらず投薬されなかったケース、投薬があったにも関わらず記録が行われなかったケース、診察だけが行われて投薬がされなかったケース、投薬があったにも関わらず投薬しなかった記録されたケースの有無を判断することができる。これにより、ユーザは、医療ミスや、医療行為後の記録の偽装などの存在を判断することができる。
【0049】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより医療行為の記録と検証を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0050】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0051】
1 情報システム
100 ICカード
110 記憶部
120 通信部
130 本人認証部
140 乱数生成部
150 セッションID生成部
160 署名データ生成部
200 情報端末
210 入力部
220 通信部
230 ICリーダライタ
300 ICカード
310 本人認証部
400 RFIDタグ
410 ハッシュ値記憶部
500 検証端末
510 入力部
520 通信部
530 ICリーダライタ
600 情報サーバ
610 電子カルテ記憶部
620 通信部
630 ハッシュ値生成部
640 検証部
【特許請求の範囲】
【請求項1】
複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、前記複数の工程毎の医療行為提供者に対応する情報端末と、当該情報端末に接続された情報サーバとを備えた医療記録システムであって、
前記情報端末は、
前記複数の工程毎に、当該工程において医療行為を提供した前記医療行為提供者を識別する提供者識別情報と、当該工程において提供された医療行為の内容を示す工程情報との入力を受付ける入力部を備え、
前記情報サーバは、
前記複数の工程毎に、前記提供者識別情報と、前記工程情報とが対応付けられた電子カルテ情報が記憶される電子カルテ記憶部と、
前記電子カルテ記憶部に前記電子カルテ情報が記憶されると、当該電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、前記複数工程のうち最終工程ではない場合には、算出したハッシュ値を前記電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を前記電子カルテ記憶部には記憶させずに前記可搬媒体に書き込ませるハッシュ値算出部と、
を備えることを特徴とする医療記録システム。
【請求項2】
前記医療記録システムは、前記可搬媒体に書き込まれた前記ハッシュ値を読み出す検証端末を備え、
前記情報サーバは、
前記検証端末が前記可搬媒体に書き込まれた前記ハッシュ値を読み出すと、前記ハッシュ値算出部に、前記電子カルテ記憶部に記憶された前記電子カルテ情報に基づいてハッシュ値を算出させ、算出された当該ハッシュ値と、前記読み出し部が読み出した前記ハッシュ値とを比較し、一致すれば検証成功と判定し、一致しなければ検証失敗と判定する検証部と、
を備えることを特徴とする請求項1に記載の医療記録システム。
【請求項3】
前記可搬媒体は、
前記ユーザに対して予め生成された秘密鍵と公開鍵とが記憶される記憶部と、
乱数を生成する乱数生成部と、
前記乱数生成部によって生成された乱数を、ハッシュ関数を用いてハッシュ化したセッションIDを生成するセッションID生成部と、
前記セッションIDを、前記記憶部から読み出した前記秘密鍵を用いて署名生成して電子署名データを生成する署名データ生成部と、
前記セッションIDと前記電子署名データとを前記情報端末に送信する送信部と、
前記セッションIDと、前記情報サーバから送信されるハッシュ値とが対応付けられて履歴情報として記憶される履歴情報記憶部と、を備え、
前記情報端末は、
前記可搬媒体から送信された前記セッションIDと前記電子署名データとを受信し、
前記セッションIDと前記電子署名データと前記工程情報とを対応付けて前記情報サーバに送信し、
前記検証端末は、
前記可搬媒体に記憶された前記履歴情報と前記公開鍵とを読み出して前記情報サーバに送信し、
前記情報サーバの、
前記電子カルテ記憶部には、前記情報端末を介して送信された、前記可搬媒体によって生成された前記電子署名データと、前記電子カルテ情報とが対応付けられて記憶され、
前記検証部は、
前記検証端末が読み出した前記履歴情報と前記公開鍵とに基づいて、前記電子署名データを署名検証する
ことを特徴とする請求項2に記載の医療記録システム。
【請求項4】
前記情報サーバの前記電子カルテ記憶部には、
前記セッションIDが、関連する前記複数工程の医療行為を識別する情報として前記電子カルテ情報に対応付けられて記憶される
ことを特徴とする請求項1から請求項3までのいずれか1項に記載の医療記録システム。
【請求項5】
前記医療記録システムは、各工程において医療行為に用いられる医療器具に貼付されるRFIDを備え、
前記情報端末は、
前記ハッシュ値算出部によって算出された前記ハッシュ値を、後工程において用いられる前記医療器具に貼付された前記RFIDに記憶させる書き込み部を備える
ことを特徴とする請求項1から請求項4までのいずれか1項に記載の医療記録システム。
【請求項6】
複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、前記複数の工程毎の医療行為提供者に対応する情報端末と、当該情報端末に接続された情報サーバとを備えた医療記録システムの医療記録方法であって、
前記情報端末が、
前記複数の工程毎に、当該工程において医療行為を提供した前記医療行為提供者を識別する提供者識別情報と、当該工程において提供された医療行為の内容を示す工程情報との入力を受付けるステップと、
前記情報サーバが、
前記複数の工程毎に、前記提供者識別情報と、前記工程情報とが対応付けられた電子カルテ情報を電子カルテ記憶部に記憶するステップと、
前記電子カルテ記憶部に前記電子カルテ情報が記憶されると、当該電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、前記複数工程のうち最終工程ではない場合には、算出したハッシュ値を前記電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を前記電子カルテ記憶部には記憶させずに前記可搬媒体に書き込ませるステップと、
を備えることを特徴とする医療記録方法。
【請求項1】
複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、前記複数の工程毎の医療行為提供者に対応する情報端末と、当該情報端末に接続された情報サーバとを備えた医療記録システムであって、
前記情報端末は、
前記複数の工程毎に、当該工程において医療行為を提供した前記医療行為提供者を識別する提供者識別情報と、当該工程において提供された医療行為の内容を示す工程情報との入力を受付ける入力部を備え、
前記情報サーバは、
前記複数の工程毎に、前記提供者識別情報と、前記工程情報とが対応付けられた電子カルテ情報が記憶される電子カルテ記憶部と、
前記電子カルテ記憶部に前記電子カルテ情報が記憶されると、当該電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、前記複数工程のうち最終工程ではない場合には、算出したハッシュ値を前記電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を前記電子カルテ記憶部には記憶させずに前記可搬媒体に書き込ませるハッシュ値算出部と、
を備えることを特徴とする医療記録システム。
【請求項2】
前記医療記録システムは、前記可搬媒体に書き込まれた前記ハッシュ値を読み出す検証端末を備え、
前記情報サーバは、
前記検証端末が前記可搬媒体に書き込まれた前記ハッシュ値を読み出すと、前記ハッシュ値算出部に、前記電子カルテ記憶部に記憶された前記電子カルテ情報に基づいてハッシュ値を算出させ、算出された当該ハッシュ値と、前記読み出し部が読み出した前記ハッシュ値とを比較し、一致すれば検証成功と判定し、一致しなければ検証失敗と判定する検証部と、
を備えることを特徴とする請求項1に記載の医療記録システム。
【請求項3】
前記可搬媒体は、
前記ユーザに対して予め生成された秘密鍵と公開鍵とが記憶される記憶部と、
乱数を生成する乱数生成部と、
前記乱数生成部によって生成された乱数を、ハッシュ関数を用いてハッシュ化したセッションIDを生成するセッションID生成部と、
前記セッションIDを、前記記憶部から読み出した前記秘密鍵を用いて署名生成して電子署名データを生成する署名データ生成部と、
前記セッションIDと前記電子署名データとを前記情報端末に送信する送信部と、
前記セッションIDと、前記情報サーバから送信されるハッシュ値とが対応付けられて履歴情報として記憶される履歴情報記憶部と、を備え、
前記情報端末は、
前記可搬媒体から送信された前記セッションIDと前記電子署名データとを受信し、
前記セッションIDと前記電子署名データと前記工程情報とを対応付けて前記情報サーバに送信し、
前記検証端末は、
前記可搬媒体に記憶された前記履歴情報と前記公開鍵とを読み出して前記情報サーバに送信し、
前記情報サーバの、
前記電子カルテ記憶部には、前記情報端末を介して送信された、前記可搬媒体によって生成された前記電子署名データと、前記電子カルテ情報とが対応付けられて記憶され、
前記検証部は、
前記検証端末が読み出した前記履歴情報と前記公開鍵とに基づいて、前記電子署名データを署名検証する
ことを特徴とする請求項2に記載の医療記録システム。
【請求項4】
前記情報サーバの前記電子カルテ記憶部には、
前記セッションIDが、関連する前記複数工程の医療行為を識別する情報として前記電子カルテ情報に対応付けられて記憶される
ことを特徴とする請求項1から請求項3までのいずれか1項に記載の医療記録システム。
【請求項5】
前記医療記録システムは、各工程において医療行為に用いられる医療器具に貼付されるRFIDを備え、
前記情報端末は、
前記ハッシュ値算出部によって算出された前記ハッシュ値を、後工程において用いられる前記医療器具に貼付された前記RFIDに記憶させる書き込み部を備える
ことを特徴とする請求項1から請求項4までのいずれか1項に記載の医療記録システム。
【請求項6】
複数の工程に亘る一連の医療行為の提供を受けるユーザを識別するユーザ識別情報が書き込まれた可搬媒体と、前記複数の工程毎の医療行為提供者に対応する情報端末と、当該情報端末に接続された情報サーバとを備えた医療記録システムの医療記録方法であって、
前記情報端末が、
前記複数の工程毎に、当該工程において医療行為を提供した前記医療行為提供者を識別する提供者識別情報と、当該工程において提供された医療行為の内容を示す工程情報との入力を受付けるステップと、
前記情報サーバが、
前記複数の工程毎に、前記提供者識別情報と、前記工程情報とが対応付けられた電子カルテ情報を電子カルテ記憶部に記憶するステップと、
前記電子カルテ記憶部に前記電子カルテ情報が記憶されると、当該電子カルテ情報を、ハッシュ関数を用いてハッシュ化してハッシュ値を算出し、前記複数工程のうち最終工程ではない場合には、算出したハッシュ値を前記電子カルテ記憶部に記憶させ、最終工程である場合には、算出したハッシュ値を前記電子カルテ記憶部には記憶させずに前記可搬媒体に書き込ませるステップと、
を備えることを特徴とする医療記録方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−192047(P2011−192047A)
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願番号】特願2010−57997(P2010−57997)
【出願日】平成22年3月15日(2010.3.15)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願日】平成22年3月15日(2010.3.15)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]